ПЕРВЫЙ ВЗГЛЯД

Особенности шестой версии Devicelock

Информационные системы даже самой защищенной "по периметру" организации часто оказываются беззащитны перед собственными сотрудниками. И не важно, произошла ли утечка информации вследствие чьих-то умышленных действий или в связи с тем, что какой-то сотрудник просто поработал с документами дома. Радикальным методом предотвращения такого рода происшествий стало удаление или блокирование на рабочих местах любых записывающих устройств со сменными носителями. Выполнить эту операцию поможет программный пакет DeviceLock, разработанный компанией SmartLine (http://www.protect-me.com/ru/) и испытанный в тестовой лаборатории "СК Пресс" .

Рис. 1. Консоль DeviceLock Enterprise Manager

На данный момент DeviceLock представлен уже шестой версией. Он работает под управлением ОС Windows семейства NT (от NT 4.0 до Server 2003) и может быть использован как на локальных ПК, так и в составе ЛВС.

Пакет состоит из резидентного модуля, который должен быть установлен на каждом из контролируемых ПК, и интерфейса DeviceLock Manager, позволяющего управлять доступом к различным устройствам на этих компьютерах. Установка всех компонентов DeviceLock производится теперь с помощью одной программы-инсталлятора. Пакет позволяет ограничить доступ не только к USB-накопителям, но и к параллельным, последовательным и инфракрасным портам, портам USB и FireWire, а также к жестким, оптическим дискам и сменным накопителям (Removable Storage).

Возможности DeviceLock увязаны с системой безопасности Windows. Изменять права доступа с помощью DeviceLock может только пользователь с правами администратора - локального или доменного. Для управления удаленными ПК необязательно входить в учетную запись администратора - подключиться к удаленному ПК и работать с системой DeviceLock можно под учетной записью локального пользователя, но резидентный модуль, разумеется, запросит пароль администратора.

С помощью интерфейсной программы администратор может управлять доступом к портам и устройствам системы, причем для некоторых типов устройств предусмотрены дополнительные возможности: можно, например, разрешить полный доступ к жесткому диску, но запретить его форматирование. Для портов ввода-вывода организованы "белые списки" устройств-исключений, использование которых администратор может разрешить при общем запрете доступа к порту. Кроме того, "белый список" USB-устройств всегда разрешает доступ к ним, так как имеет больший приоритет, чем другие настройки. В шестой версии DeviceLock можно создавать "белый список" оптических дисков (Media White List), разрешающий использование определенных оптических дисков с фиксированными данными, даже если сам привод заблокирован. Всякое изменение данных на этом диске блокирует доступ к нему. Каждому пользователю и группе можно назначить свой "белый список" носителей.

Рис. 2. Сканирование ЛВС

Новая версия DeviceLock имеет и другие возможности. Все файлы, копируемые пользователем на внешние сменные носители или переданные через последовательные (параллельные) порты, сохраняются в системе и могут отслеживаться администратором посредством Shadow Log Viewer. Эта процедура называется теневым копированием. Для централизованного сбора и хранения "теневых" данных и журналов аудита введен дополнительный компонент - DeviceLock Enterprise Server, использующий для хранения данных MS SQL-сервер. Максимальный размер области "тени" можно ограничить (тем или иным процентом от свободного места жесткого диска).

В DeviceLock Management Console добавлен модуль удаленного управления доступом ко всем функциям программы с рабочего места администратора системы. Он представляет собой оснастку (snap-in) для Microsoft Management Console со стандартным интерфейсом. Для сетей, где не используется Active Directory, предусмотрена дополнительная консоль с собственным интерфейсом - DeviceLock Enterprise Manager.

Англоязычный интерфейс программы оставляет противоречивые впечатления. С одной стороны, он кажется интуитивно понятным: в главном меню всего три пункта (File/View/Help), все действия выполняются несколькими щелчками мыши. Но окно поиска файлов сертификатов, открывающееся из окна DeviceLock Temporary White List Administration Tool, показывает все файлы, а не только файлы сертификатов. Правда, некоторые окна поиска файлов других типов не показывают "посторонних" файлов, но понять, что это за типы, быстро не удастся - контекстная справка имеется далеко не у всех окон. То же относится и к аббревиатурам вроде Name (RDN) в окне Select User (Advanced), и здесь контекстная справка молчит (вместе с бесконтекстной). Наконец, все, что касается управления "проектами" (речь идет о создании и хранении политик администратора DeviceLock), лежит за пределами средней интуиции.

В целом же DeviceLock будет полезен администраторам ЛВС малых и средних компаний, так как дает возможность решить программно ряд тех задач, которые принято решать на аппаратном или административном уровне. Надо лишь владеть английским письменным и русским устным.